Ερευνητές ασφαλείας εντόπισαν πάνω από 178.000 next-generation firewalls (NGFW) της SonicWall που έχουν το management interface τους εκτεθειμένο στο διαδίκτυο, με αποτέλεσμα να είναι ευάλωτα σε denial-of-service (DoS) επιθέσεις και σε επιθέσεις που επιτρέπουν εκτέλεση κώδικα απομακρυσμένα (RCE).

Συγκεκριμένα, οι συσκευές επηρεάζονται από δύο ευπάθειες DoS, CVE-2022-22274 και CVE-2023-0656. Η πρώτη επιτρέπει επίσης στους εισβολείς να αποκτούν δυνατότητα για απομακρυσμένη εκτέλεση κώδικα.

Σύμφωνα με τον Jon Williams, Ανώτερο Μηχανικό Ασφαλείας στην Bishop Fox, τα SonicWall firewalls με τα εκτεθειμένα management interface είναι ευάλωτα στη μια ή και τις παραπάνω δύο ευπάθειες.

Και τα δύο σφάλματα προκαλούνται από την επαναχρησιμοποίηση του ίδιου ευάλωτου code pattern, αλλά η εκμετάλλευσή τους γίνεται σε διαφορετικά HTTP URI paths, σύμφωνα με τους ερευνητές.

Δείτε επίσης: Juniper: Κρίσιμη ευπάθεια σε firewalls και switches

Η αρχική μας έρευνα επιβεβαίωσε τον ισχυρισμό του προμηθευτή ότι δεν υπήρχε διαθέσιμο exploit· ωστόσο, μόλις εντοπίσαμε τον ευάλωτο κώδικα, ανακαλύψαμε ότι ήταν το ίδιο ζήτημα που ανακοινώθηκε ένα χρόνο αργότερα ως CVE-2023-0656“, είπε ο Williams.

Διαπιστώσαμε ότι το CVE-2022-22274 προκλήθηκε από το ίδιο ευάλωτο μοτίβο κώδικα σε διαφορετικό μέρος και το exploit λειτούργησε σε τρία επιπλέον URI paths“.

Οι ερευνητές λένε ότι ακόμα κι αν οι επιτιθέμενοι δεν μπορέσουν να εκτελέσουν κώδικα σε μια ευάλωτη συσκευή SonicWall, μπορούν να εκμεταλλευτούν τις ευπάθειες για να τη θέσουν σε maintenance mode, απαιτώντας παρέμβαση από τους διαχειριστές για να αρχίσει να λειτουργεί ξανά κανονικά.

Επομένως, ακόμα κι αν δεν είναι σίγουρη η απομακρυσμένη εκτέλεση κώδικα, οι επιτιθέμενοι θα μπορούσαν να αξιοποιήσουν αυτές τις ευπάθειες για να απενεργοποιήσουν τα edge firewalls και την πρόσβαση VPN

που παρέχουν στα εταιρικά δίκτυα.

Δείτε επίσης: NoName: Επιθέσεις DDoS εναντίον ιστότοπων της Ουκρανικής κυβέρνησης

Περισσότερα από 500.000 firewalls της SonicWall εκτίθενται επί του παρόντος στο διαδίκτυο, με περισσότερα από 328.000 να εντοπίζονται στις Ηνωμένες Πολιτείες.

Οι ειδικοί ασφαλείας της SonicWall λένε ότι δεν έχουν βρει στοιχεία που να αποδεικνύουν ότι οι ευπάθειες έχουν χρησιμοποιηθεί σε επιθέσεις, αλλά υπάρχει τουλάχιστον ένα proof-of-concept (PoC) exploit στο διαδίκτυο για το CVE-2022-22274.

Οι διαχειριστές καλούνται να διασφαλίσουν ότι το management interface των συσκευών SonicWall NGFW δεν εκτίθεται στο διαδίκτυο και να εφαρμόσουν τις πιο πρόσφατες εκδόσεις firmware για να παραμείνουν προστατευμένοι.

Δείτε επίσης: Microsoft SharePoint: Κρίσιμη ευπάθεια χρησιμοποιείται για επιθέσεις

Επιπλέον, ως γενικά μέτρα προστασία προτείνονται η χρήση ισχυρών κωδικών πρόσβασης και η παρακολούθηση των καταγραφών του συστήματος. Η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης είναι ζωτικής σημασίας. Αυτό μπορεί να βοηθήσει στην προστασία από επιθέσεις που εκμεταλλεύονται αδύναμους ή επαναλαμβανόμενους κωδικούς.

Όσον αφορά στην παρακολούθηση και ανάλυση των καταγραφών του συστήματος, μπορεί να βοηθήσει στην ανίχνευση των επιθέσεων. Αυτό μπορεί να περιλαμβάνει την εξέταση των προτύπων traffic ή την αναζήτηση ασυνήθιστης συμπεριφοράς.

Πηγή: www.bleepingcomputer.com